職業としてのセキュリティ–セキュリティを「もうかる仕事」に変えた経産省のファインプレー

今回は「職業としてのセキュリティ–セキュリティを「もうかる仕事」に変えた経産省のファインプレー」についてご紹介します。

関連ワード (セキュリティ、企業セキュリティの歩き方等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 前回まで、高度化・巧妙化するサイバー攻撃の脅威に対して防御側は、その検知ができなくなり、それを覆すために高度な検知機能を持つさまざまなセキュリティ製品を導入したこと。また、それらを使いこなせるリソースがユーザー企業にもベンダーにも乏しく、セキュリティを向上できなかった経緯を述べてきた。

 その結果、せっかくコストをかけて導入したセキュリティ製品を十分に活用できない状況が10年以上も続いた。しかし、2023年現在では、このような状況が皆無とは言わないまでも、かなり改善された。今回は、状況の変化をもたらした政府の「サイバーセキュリティ経営ガイドライン」の公開やその後の状況について述べていく。

 「IT人材やセキュリティ人材が足りない」というアナウンスがしばしなされる。その中でも筆者の記憶に新しいのは、2016年に経済産業省(経産省)が明らかにした「セキュリティ人材が2020年に20万人(資料によると正確には19万3000人)不足する」(資料PDF)というものだ。

 2016年時点で、既に2020年の東京五輪開催が決まっていた。そしてこのアナウンスは、リオデジャネイロ五輪が閉幕した時期と重なる。もちろん、東京五輪はコロナ禍で2021年に延期されたが、ここではあまり関係がない。ポイントは、五輪開催時にどうしても多くなるサイバー攻撃について、その時点で政府が日本のセキュリティ人材や技術者の数では対応できないと発表したということだ。

 五輪のような巨大なイベントは世界中から注目が集まる。そして、そういう時には攻撃者のメリットも高まることが多い。もし、サイバー攻撃で五輪の開催に問題が発生すれば、日本政府の面目にかかわり、場合によっては、人命を含む多くの被害も出る。そのため、絶対に失敗できない政府は、リオデジャネイロ五輪が終わったタイミングで、既に人材が足りない状況であり、かつ「猶予があと4年しかない」と問題提起したのだろう。

 幸いなことに、結果的にセキュリティ担当者や関係各所の皆さんの尽力もあって、東京五輪ではサイバー攻撃に起因する大きな問題や不具合がほとんど発生しなかった。もちろん、見えない部分ではいろいろな問題が起きただろう。しかし、それが大きな問題とならなかったのだから、きちんと対応された成果なのだとも思う。

 しかし、その事実とは別に、この「セキュリティ人材が足りない」という事前の問題提起に対する、当のセキュリティ業界での反応は少々意外なものだった。それは、「育成したセキュリティ人材のキャリアパスをどうするか。それを議論すべきだ」というものだ。

 この話を聞いて、納得感が得られたという人は少ないだろう。なぜなら、人材不足なら仕事がたくさんあるはずで、その分野の技術者を増やせば問題解決になると考えるのが自然だからだ。特にセキュリティ人材がITの各分野の中でも、特に高度な人材としてもてはやされる現状からすると、そのような人材のキャリアパスが論点となることに違和感しかない。

 しかし、実は筆者も当時同じ危機感を持っていた。現実問題として、IT業界の中でもセキュリティ人材は長年にわたって不遇の時代が続いていたからだ。なぜなら、企業経営者などからは「セキュリティなんぞに幾らお金をかけてももうからない。無用なものだ」とされ、育成や活用も進まなかったからだ。

 しかも、これは暴論などではなく、企業経営者にとっては非常に全うな意見であり、正論でもある。もしサイバー攻撃が、ごく一部の運の悪い人だけに起こる現象であったなら、それは正しい。その仮定が正しければ、ほとんどの場合、対策にお金をかけるのは無駄なのだ。

 そのため、当時はよほどの大企業かウェブサービス事業者などでなければ、社内に大勢のセキュリティ技術者を雇用するような状況がほとんど見られなかった。また、セキュリティベンダーであっても、その状況が大きくは違わなかった。企業側に買う意思がなければビジネスにならないからだ。セキュリティ業界は、標的型攻撃に代表されるインシデントの発生などで徐々に拡大してきたものの、あくまで特殊枠のような扱いだった。

 つまりセキュリティ業界は、2010年代半ばまで、大きなITの中の1つの特殊な分野にとどまっていたのだ。だから政府が「2020年に20万人のセキュリティ人材が不足する」と言っても、セキュリティ業界では、育成された人材によって業界が一気に拡大するという楽観的な予想をしていた人がほとんどいなかった。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
【レビュー】新iMac パープル先行動画レビュー。周辺機器まで統一されたカラーデザインに感動
ハードウェア
2021-05-20 06:53
NTTドコモで職場接種、ショップ店員ら優先
IT関連
2021-06-23 12:49
コロナ禍でも脆弱性は減少–インパーバ調べ
IT関連
2021-03-18 20:00
青森県立中央病院、院内Wi-Fiで病室でのオンライン面会を実現
IT関連
2022-04-14 14:47
「CRM+AI+データ+信頼」で新しい未来を築く–セールスフォース・ジャパン
IT関連
2024-04-17 18:26
パナソニック、DXの成果を振り返る–「世界のCIOがうらやむはず」
IT関連
2023-07-27 08:20
メルカリが社員の博士課程進学の支援制度開始、週休4日など柔軟な働き方のもと学費を全額支給し研究活動・学び直し支援
IT関連
2022-01-29 22:27
萌芽的トピックは少人数による継続的論文発表によって創出―筑波大学が萌芽的トピック創出のプロセスを数量的に解析
IT関連
2022-01-25 09:46
ブラウザテスト自動化のPuppeteerがFirefox正式サポート、新標準のWebDriver BiDi対応で。これでChromeとFirefoxに両方対応に
Firefox
2024-08-09 05:37
京王百貨店、オンライン接客で購買意欲を促進–LINEミニアプリに新機能を搭載
IT関連
2022-06-22 06:29
「脱セキュリティベンダー目指す」–タニウム新社長が事業戦略語る
IT関連
2024-02-17 08:30
2022年第2四半期のクラウドインフラ、シェア1位はAWS、2位はAzure、3位Google Cloud。上位3社の寡占がさらに高まる
AWS
2022-08-04 06:36
東京海上日動、ブルームバーグのソリューション採用–DXによる事業変革に向け
IT関連
2021-08-04 09:39
10分で食料品を配達するDijaがロンドンでダークストアを正式立ち上げ
シェアリングエコノミー
2021-03-09 23:54